Diritto e tecnologie digitali27 maggio 2011

Ordine Forense di Sulmona

“RISERVATEZZA NELL’ORGANIZZAZIONE E NELLA GESTIONE AZIENDALE”

Vincenzo Colarocco

DOTT. VINCENZO COLAROCCO

Patrocinatore legale del Foro di Bologna

Cultore d’Informatica Giuridica Facoltà di Giurisprudenza dell’Università di Bologna

Membro del Circolo dei Giuristi Telematici

Le nuove tecnologie hanno mutato “gli arnesi” del mestiere

e il nostro modo di lavoraree hanno posto in primo piano il problema della disciplina dell’uso e del controllo

nella loro applicazione.

Vincenzo Colarocco

IL DIRITTO –DOVERE ALLA RISERVATEZZA

Dal RIGHT TO BE ALONE al d.lgs 196/03

Art.2105 c.c.

Art.2106 c.c.

Art.2598.3 c.c

Art.2125 c.c

Artt.621-623 c.p.

Art.98.1 d.lgs 30/05

Art.99 d.lgs 30/05

Vincenzo Colarocco

Quali dati possiede l’azienda?

DATI AZIENDALI

Vincenzo Colarocco

DATI DEI LAVORATORI

Il PATRIMONIO AZIENDALE delle informazioni

Business-plan

Informazioni Privilegiate

Know-how

Marchi e brevetti

Strategie commerciali

Banche dati

Vincenzo Colarocco

Il Know-how L’art. 98 Cpi, precisa ora l’oggetto della tutela:

“1. Costituiscono oggetto di tutela le informazioni aziendali e le esperienze tecnico-industriali, comprese quelle commerciali, soggette al legittimo controllo del detentore, ove tali informazioni: a) siano segrete, nel senso che non siano nel loro insieme o nella precisa configurazione e combinazione dei loro elementi generalmente note o facilmente accessibili agli esperti ed agli operatori del settore; b) abbiano valore economico in quanto segrete; c) siano sottoposte, da parte delle persone al cui legittimo controllo sono soggette, a misure da ritenersi ragionevolmente adeguate a mantenerle segrete”.

Inoltre l’art. 99 a proposito della tutela prevede che:“Salva la disciplina della concorrenza sleale, è vietato rivelare a terzi oppure acquisire od utilizzare le informazioni e le esperienze aziendali di cui all'articolo 98.”

Vincenzo Colarocco

Le banche dati

L’art.2.9 l.633/41, così come modificato dal d.lgs169/99 (Dir 96/9/CE), definisce le banche dati come

“raccolte di opere, dati o altri elementi indipendenti sistematicamente o metodicamente disposti e individualmente accessibili grazie a mezzi elettronici o in altro modo”

Vincenzo Colarocco

Il d.lgs 169/99 ha introdotto all’art.1 della l.d.a “nonché le banche di dati che per la scelta o la disposizione del materiale costituiscono una creazione intellettuale dell'autore".

Vincenzo Colarocco

BANCHE DATI SELETTIVE BANCHE DATI NON SELETTIVE

Tutela sui generis ex art 102 bis l.d.a

I DATI dei lavoratori

DATI PERSONALIArt.4.1 lett. b) D.Lgs 196/03

Vincenzo Colarocco

DATI SENSIBILIArt.4.1 lett. d) D.Lgs 196/03

Dati personali in azienda

Dati identificativi

Dati relativi all’attività economica, commerciale, finanziaria

Dati relativi alla gestione del rapporto di lavoro

di dipendenti, di collaboratori, consulenti, agenti e rappresentanti società, enti, soci: nome,cognome, indirizzo, sede, data di nascita,tel., fax, e-mail, P. IVA, ecc.

occupazione attuale e precedente,retribuzioni, note di qualifica, ecc.

dati contabili, ordini, spedizioni, contratti,dati bancari, dati finanziari (redditi,investimenti, mutui, ipoteche, ecc.).

Vincenzo Colarocco

Dati sensibili in azienda

Dati idonei a rivelare le convinzioni religiose, filosofiche o di altro genere

Dati idonei a rivelare le opinioni politiche, l’adesione a partiti, sindacati, associazioni a carattere politico o sindacale

fruizione di permessi e festività religiose o di servizi di mensa, manifestazione dell’obiezione di coscienza

esercizio di funzioni pubbliche o di incarichi politici per permessi aspettative riconosciute dalla legge o dai contratti;

organizzazione di iniziative pubbliche, attività o incarichi sindacali,

trattenute per il versamento delle quote sindacali o delle quote di iscrizione ad organizzazioni politiche o sindacali nelle paghe,

8 per mille

Vincenzo Colarocco

Dati idonei a rivelare lo stato di salute

Curriculum vitae

Tutti i tipi di dati sensibili

Dati sulle malattie anche professionali, invalidità, infermità, infortunio, gravidanza, puerperio, allattamento, esposizione a fattori di rischio,idoneità psico-fisica alla mansione specifica,appartenenza a categorie protette

Hobbies, preferenze, appartenenza a categorie protette, etnia, razza, religione

Log file di navigazione (Provvedimento Garante sull’utilizzo di internet e posta elettronica).

Vincenzo Colarocco

Quale TUTELA per..

Tutelare i dati riservati

Garantire la protezione del Know-How

Tutelare i dati dei dipendenti

Rendere leciti i controllo difensivi

Tutelare le banche dati

Disciplinare l’utilizzo delle nuove tecnologie

Vincenzo Colarocco

Soluzione

POLICY AZIENDALE

FORMAZIONE

CONTRATTUALIZZAZIONE

Vincenzo Colarocco

Le POLICY AZIENDALI

I regolamenti aziendali non sono un’invenzione recente dell’ordinamento:

Art. 2104, comma 2° Codice Civile;

Art. 2106 Codice Civile;

Art. 111 Codice della Privacy;

Provvedimento 1° marzo 2007 Garante n.13;

Direttiva n. 2/2009 Ministro dell’Innovazione

Vincenzo Colarocco

Un’opportunità per..

Proteggere il patrimonio aziendale;

Ottimizzare le risorse interne;

Rendere effettive norme e regole interne e “su misura” per la esecuzione delle mansioni e la disciplina;

Rendere effettiva l’osservanza delle misure minime prescritte dall’Allegato B D.Lgs. 196/03, dalla L.81/08;

Effettuare i controlli difensivi in modo legittimo

Vincenzo Colarocco

La DOUBLE ACTING della Policy

A) TUTELA DEI DATI E DEI DIRITTI DEL DIPENDENTE;

B) TUTELA DEI DIRITTI DEL DATORE DILAVORO.

Vincenzo Colarocco

Tutela del Dipendente

Garanzie di tutela dei dati personali e sensibili del dipendente (Provv. 10.01.2002; Linee Guida)

Garanzie del telecontrollo (art. 4 Statuto dei Lavoratori; Provv. del Garante del 02.02.06, Provv. del Garante del 08.04.2010)

Garanzie del tecnocontrollo (Linee Guida per il trattamento dei dati dei Lavoratori; Provv. del Garante del 1° marzo 2007);

Tutela del Datore di lavoro

- Effettività della tutela dei dati e delle informazioni aziendali;

- Effettività dell’applicazione del rispetto delle norme in materia di privacy;

- Opportunità di controlli legittimi del dipendente nell’uso delle tecnologie in dotazione;

- Risparmio delle risorse aziendali.

Tutela dell’attività aziendale, in particolare:

- del lavoro svolto al suo interno;

- del suo patrimonio (beni fisici e know-how);

- della sua clientela;

-degli altri dipendenti;

Il Garante & internet: prov. 13/07

ADOZIONE DISCIPLINARE INTERNO e MISURE ORGANIZZATIVE

NAVIGAZIONE IN INTERNET

USO MAIL

USO STRUMENTAZIONE TECNOLOGICA IN DOTAZIONE

CONTROLLI DIFENSIVI

Vincenzo Colarocco

Navigare, it’s easy?

Siti correlati o non correlati con la prestazione lavorativa;

Filtri e proxy;

Il trattamento di dati in forma anonima;

L'eventuale conservazione di dati per il tempo strettamente limitato al perseguimento di finalità organizzative, produttive e di sicurezza;

La graduazione dei controlli

Vincenzo Colarocco

Web, Privacy e lavoro

Il caso: Dipendente della Cassa Nazionale di Previdenza dei Commercialisti

"Sospesa 15 giorni per un commento scritto su Facebook".

Assenteismo virtuale nella piazza virtuale?

Vincenzo Colarocco

E-mail

La mancata definizione a priori della qualità di strumento

aziendale dell'indirizzo e-mail può comportare un illecito

comportamento del Datore altrimenti perfettamente lecito.

Utilizzo di indirizzi condivisi (info@, amministrazione@...)

Attribuzione di indirizzi privati al lavoratore;

Risponditori automatici in caso di assenza;

Delega ad un “fiduciario” per la lettura della posta in

caso assenza improvvisa, con redazione di verbale;

Disclaimer automatico nei messaggi in uscita

la graduazione dei controlli

Vincenzo Colarocco

Il datore non puòeffettuare trattamenti di dati personali mediante sistemi hardware e software che mirano al controllo a distanza di lavoratori svolti in particolare mediante:

a) la lettura e la registrazione sistematica dei messaggi di posta elettronica ovvero dei relativi dati esteriori, al di là di quanto tecnicamente necessario per svolgere il servizio e-mail

b) la riproduzione e l'eventuale memorizzazione sistematica delle pagine web visualizzate dal lavoratore;

c) la lettura e la registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo;

d) l'analisi occulta di computer portatili affidati in uso;

Vincenzo Colarocco

Controlli difensivi

Vincenzo Colarocco

Devono essere chiaramente indicati nellapolicy aziendale.

Verifiche finalizzate a:

1) Tutelare il patrimonio aziendale;

2) Verificare la funzionalità e la sicurezza del sistema informatico aziendali;

3) Eseguire le verifiche necessarie per la

sicurezza sul lavoro.

L’esecuzione dei controlli…

Manuale-Informatica-Telematica

Organizzazione ed elaborazione dei dati

Garantita dalle Misure Minime di Sicurezza (art33 d.lgs.196/03)

Vincenzo Colarocco

•Firewall•Antivirus•Password•Dps

D.P.S.• L'elenco dei trattamenti di dati personali;

• La distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;

• L'analisi dei rischi che incombono sui dati;

• Le misure da adottare per garantire l'integrità e la disponibilità dei dati, anche di natura logistica delle aree e dei locali

• Backup e piano di disaster recovery per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;

• Addestramento e formazione degli incaricati

• La descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trasferimento dai all’esterno;

• Crittografia e dissociazione per i dati sensibili

Vincenzo Colarocco

Sanzioni

Art. 169. Misure di sicurezzaChiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni.

Vincenzo Colarocco

Privacy & decreto sviluppo: rivoluzione?

Il d.l.70/11 del 5.5.2011 ha portato importanti novità al

Codice della Privacy:

Vincenzo Colarocco

• Eliminazione delle informative e/o richieste di consenso, se si trattano dati personali relativi a persone giuridiche, esclusivamente per questioni amministrativo-contabili

• Introduzione del regime OPT-OUT per gli indirizzi postali, già in vigore dal 1.1.11 per l’esercizio di marketing telefonico, con l’introduzione del REGISTRO DELLLE OPPOSIZIONI

• Esonero dall’obbligo di predisposizione del DPS“Per i soggetti che trattano soltanto dati personali non

sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti”.

• “La tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione”

• Modalità semplificate di applicazione del disciplinare tecnico per trattamenti comunque effettuati per correnti finalità amministrativo – contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani

Vincenzo Colarocco

FORMAZIONE

Allegato B d.lgs 196/03 art.19.6

FORMAZIONE

EFFICACE ANNUALE

Vincenzo Colarocco

CONTRATTUALIZZAZIONE

Non Disclosure Agreement

Clausole di riservatezza

Vincenzo Colarocco

Le policy aziendali: un esempio di civiltà e progresso giuridico

Restano ad oggi un suggerimento o una facoltà che promana dai diversi provvedimenti.Non essendo ad oggi adempimento tassativo da ottemperare…. spesso diventano occasioni mancate!

Grazie e buon lavoro

Vincenzo Colarocco

Vincenzo Colarocco

Patrocinatore legale del Foro di Bologna

Cultore d’Informatica Giuridica Facoltà di Giurisprudenza dell’Università di Bologna

vincenzo.colarocco@studiolegalelecchi.it

www.novastudia.com www.studiolegalelecchi.it

www.cyberlex.it

GRAZIE PER L’ATTENZIONE